Informe Final TI

AUDITORÍA SOBRE EL USO ADECUADO DE LOS RECURSOS DEL

BANCO LOS PATITOS FELICES

22/04/2019
Contenidos
RESUMEN EJECUTIVO 3
1. INTRODUCCIÓN 4
1.1. Justificación de la auditoría 4
1.2. Objetivo 4
1.3. Alcance 4
1.4. Metodología de Trabajo 4
2. RESULTADOS DE LA EVALUACIÓN 5
2.1. Normativa sobre el acceso a cuentas de correo 5
2.2. Normativa sobre información del usuario en las computadoras 5
2.3. Control en el mantenimiento de Sistemas de Información 6
2.4. Utilización de programas maliciosos 7
2.5. Difusión de información falsa 7
3. CONCLUSIÓN 7
4. RECOMENDACIONES 8
4.1. Normativa sobre el acceso a cuentas de correo 8
4.2. Normativa sobre información del usuario en las computadoras 8
4.3. Control en el mantenimiento de Sistemas de Información 8
 RESUMEN EJECUTIVO

En esta auditoria se evaluaron los principales procesos relacionados con la

adecuada administración y el cumplimiento de la normativa interna y externa
referente al uso adecuado de los recursos del Banco Los Patitos Felices.

Como parte de las debilidades localizadas se detectó la carencia de normativa

para poder acceder de forma legal a los datos personales de los funcionarios del
Banco, que se localiza tanto en sus cuentas de correo electrónico como en las
computadas personales que se les han asignado para ejecutar sus funciones.

Evaluando los procesos de mantenimiento de sistemas de información, se

identificó que se carece de un control que valore la existencia de programación
indebida en el código fuente una vez que se ha solventado el requerimiento del
usuario final y se va a colocar en el servidor de Producción.

También se logró comprobar la inexistencia de normativa interna que regule el

accionar en caso de localizar programas maliciosos en las computadoras del
Banco y que hayan sido utilizados de forma intencional.

Por último, se encontró la falta de políticas y procedimientos enfocados a

administrar los posibles casos de envío de información falsa o incorrecta
utilizando los equipos del Banco y donde dichos correos afecten de forma
negativa a la institución o a sus empleados.
1. INTRODUCCIÓN

1.1. Justificación de la auditoría

Fiscalizar el uso adecuado de los recursos del Banco Los Patitos Felices.

1.2. Objetivo

Evaluar el proceso de administración y cumplimiento del adecuado uso de los recursos del
Banco Los Patitos Felices.

1.3. Alcance

El estudio abarcó la normativa, información y procesos operativos relacionados con la

administración y el control de los recursos del Banco Los Patitos Felices.

1.4. Metodología de Trabajo

Se aplicó un Manual de Normas Generales de Auditoría, otras normas y estándares

utilizados fueron:

 Las normas ISO 27002:2005 Tecnologías de Información – Código de buenas

prácticas para la gestión de la seguridad de la información.

 Las Normas Técnicas para la Gestión y el Control de las Tecnologías de

Información.

Además, se aplicaron técnicas de auditoría comúnmente aceptadas como entrevistas,

revisión documental de la gestión administrativa y visitas de campo para la verificación del
control interno.

Específicamente se ejecutaron entrevistas con los funcionarios del área de Soporte Técnico
del Departamento de TI. Adicional se evaluó la existencia y razonabilidad de la
documentación formal y procesos establecidos para controlar la información establecida
según la norma como privada.

Los resultados de las pruebas ejecutadas y demás documentos que respaldan el trabajo
realizado, se mantienen como papeles de trabajo en el expediente electrónico de la
Auditoria Interna. Las deficiencias detectadas, tanto en aspectos de control interno como
operativas, de la presente revisión, se detallan en la sección de Resultados.
2. RESULTADOS DE LA EVALUACIÓN

2.1. Normativa sobre el acceso a cuentas de correo

Al valorar la normativa vigente, se logró determinar que no se ha normado bajo cuáles

circunstancias y qué pasos se deben seguir en caso de ser necesario acceder a la cuenta
de correo electrónico asignada a un funcionario que por diferentes razones (por ejemplo
que se encuentre fuera de la institución) no pueda hacerlo.

De acuerdo a lo conversado, no se ha normado aún esta situación ya que según lo indicado

por el área de soporte Técnico, indistintamente de la justificación ofrecida por alguna
jefatura o de la necesidad de obtener alguna información, los funcionarios de TI no realizan
los accesos las cuentas de correo solicitadas, en vista de las consecuencias legales que
podrían tener.

Como consecuencia de esta situación, podría verse afectada la operativa de una unidad al
no poder obtener información necesaria para algún trabajo y que esté contenida en correos
electrónicos de empleados que por distintas razones se les impida facilitarlos.

2.2. Normativa sobre información del usuario en las computadoras

En la auditoría al evaluar la normativa del “Uso de recursos tecnológicos”, en la cual

además de indicar como se deben administrar las carpetas creadas en todas las
computadoras del Banco, dicha carpeta es para que cada resguarde su información
privada en cada equipo. No obstante, se logró comprobar que no se ha definido bajo cuáles
circunstancias el personal técnico podría acceder a la información privada de las
computadoras, esto previa autorización del dueño de la información.

Uso de recursos tecnológicos, se indica lo siguiente con relación al almacenamiento de la

información personal de los funcionarios:

El Departamento de TI dentro de las estaciones de trabajo definirá una carpeta, identificada

con el código de usuario asignado (login), en la cual pueda el funcionario almacenar
información personal, la cual no debe violentar las prohibiciones establecidas en la presente
política. La administración de la información mencionada es responsabilidad del usuario.

Violación de datos personales

Al no cumplirse dicha normativa el funcionario estará expuesto a ser sancionado con pena
de prisión de tres a seis años quien en beneficio propio o de un tercero, con peligro o daño
para la intimidad o privacidad y sin la autorización del titular de los datos, se apodere,
modifique, interfiera, acceda, copie, transmita, publique, difunda, recopile, inutilice,
intercepte, retenga, venda, compre, desvíe para un fin distinto para el que fueron
recolectados o dé un tratamiento no autorizado a las imágenes o datos de una persona
física o jurídica almacenados en sistemas o redes informáticas o telemáticas, o en
contenedores electrónicos, ópticos o magnéticos.

No contar con alguna política y procedimiento que detalle la forma en que debe accederse
a la información privada de los demás usuarios, podría limitar el acceso a datos necesarios
para un área o unidad que por error no fueron guardados en la carpeta de información
institucional, sino en la personal.

2.3. Control en el mantenimiento de Sistemas de Información

A nivel de los sistemas de información existentes en el Banco, por la operativa de la

institución y de las diferentes áreas, es normal que se genere la necesidad de realizar
modificaciones a tales aplicaciones debido a requerimientos propios de los usuarios,
mismos que van desde nuevos reportes, pantallas y hasta pequeños módulos destinados
a administrar alguna tarea que anteriormente se llevaba de forma manual. Para esto el
Departamento de TI ha implementado toda una estructura operativa en el área de
Desarrollo y Mantenimiento de Sistemas, la cual abarca todo el proceso requerido.

Estafa informática

Se impondrá prisión de tres a seis años a quien, en perjuicio de una persona física o jurídica,
manipule o influya en el ingreso, en el procesamiento o en el resultado de los datos de un
sistema automatizado de información, ya sea mediante el uso de datos falsos o
incompletos, el uso indebido de datos, programación, valiéndose de alguna operación
informática o artificio tecnológico, o bien, por cualquier otra acción que incida en el
procesamiento de los datos del sistema o que dé como resultado información falsa,
incompleta o fraudulenta, con la cual procure u obtenga un beneficio patrimonial o indebido
para sí o para otro.

Sabotaje informático

Se impondrá pena de prisión de tres a seis años al que, en provecho propio o de un tercero,
destruya, altere, entorpezca o inutilice la información contenida en una base de datos, o
bien, impida, altere, obstaculice o modifique sin autorización el funcionamiento de un
sistema de tratamiento de información, sus partes o componentes físicos o lógicos, o
un sistema informático.

Estándares y procedimientos para cambios

Establecer procedimientos de administración de cambio formales para manejar de manera

estándar todas las solicitudes (incluyendo mantenimiento) para cambios a aplicaciones,
procedimientos, procesos, parámetros de sistema y servicio, y las plataformas
fundamentales.”

Según lo que se investigó, la ausencia de revisión en el código fuente se debe a que no

está delimitada esa actividad de forma específica en el manual de puestos del
Departamento de TI para ninguno de los funcionarios del área.

Un efecto directo de la carencia de revisión de código malicioso en los sistemas del Banco,
es que se puedan ejecutar acciones indebidas en las aplicaciones que se ejecuten en el
servidor de producción y que no puedan ser detectadas; tales actividades pueden ir desde
la modificación de datos, acceso a información privada, suspensión de seguridad, alteración
de procesos, entre otros.
 2.4. Utilización de programas maliciosos

En el Banco existe el procedimiento llamado Atención de Incidentes de Seguridad de TI,

en el cual de forma general se detalla los pasos a seguir en caso de que se localice un
incidente que violente la seguridad a nivel tecnológico. Sin embargo, no se ha definido
cómo se debe proceder cuando el incidente tiene relación al uso de un programa
malicioso y se haya comprobado que fue ejecutado por el funcionario de forma
intencional para buscar algún tipo de beneficio.

Instalación o propagación de programas informáticos maliciosos

Lo conversado con el área de soporte Técnico, a la fecha no se había incluido un enfoque

de los incidentes maliciosos, en vista de que se había suficiente con la inclusión del proceso
para cerrar la brecha de seguridad y mitigar el riesgo, dejando de lado las violaciones de
seguridad intencionales y efectuadas con algún fin indebido.

Una de las consecuencias de no tener normado como actuar en este tipo de situaciones,
es que no se logre recuperar correctamente la evidencia del incidente, produciendo vacíos
legales en un eventual procedimiento administrativo o acto judicial.

2.5. Difusión de información falsa

En la auditoría se logró determinar que no están normadas las acciones a seguir en caso
de que se compruebe le remisión de información o noticias falsas utilizando cualquiera de
los equipos tecnológicos del Banco y que pueda perjudicar de directa o indirectamente
cualquier unidad de la institución o alguno de sus funcionarios.

Una de las posibles consecuencias de no tener normado el proceso de revisión de difusión

de información falsa, es que no se tenga claro cómo actuar ni qué datos recolectar en una
eventualidad de este tipo y por ende no sirva lo recabado como pruebas para un
proceso sancionatorio o judicial.

3. CONCLUSIÓN

Al efectuar la auditoría sobre el proceso de administración y cumplimiento del adecuado

usos de los recursos del Banco, se logró determinar que a nivel de maduración y
culturización del tema en general, la institución ha incursionado muy poco sobre los
controles que deberían aplicarse.

La ejecución del trabajo fue realizada aplicando las técnicas de auditoria correspondiente,
incluyendo la ejecución de entrevistas y valoración de documentos vigentes al momento de
la auditoría.

También se considera necesario reforzar los controles relacionados con la programación

para mantenimiento de sistemas; el posible uso de programas maliciosos que vulneren la
seguridad de la institución y la difusión o envío de información falsa del Banco y que pueda
afectarlo.
En la sección siguiente se explica con mucho más detalla las recomendaciones que según
la Auditoría Interna deben implementarse para mejorar el proceso de continuidad del
negocio, en una posible contingencia que afecte los recursos tecnológicos.

4. RECOMENDACIONES

4.1. Normativa sobre el acceso a cuentas de correo

A la Gerencia General

Debe normarse el acceso a cuentas de correo electrónico institucional que no sean propias
del funcionario que las va a acceder, ya sea una jefatura, personal de soporte Técnico o
algún tipo de investigación o revisión. Para esto debe quedar documentado el permiso
escrito que brinde previamente el dueño de la cuenta, así como el detalle de bajo qué
situaciones se podrá realizar esta actividad, el tipo de información que podrá ser extraída y
de qué forma, el personal que debe estar a cargo del proceso así como el o las personas
que deben estar presentes, la minuta o documento donde se indique que información se
recuperó y todos los demás pasos o actividades necesarias para ejecutar correctamente el
acceso a la información. Una vez implementado el control, debe implementarse un histórico
que resguarde la información recolectada.

Nivel de Riesgo: Medio

4.2. Normativa sobre información del usuario en las computadoras

A la Gerencia General

Debe crearse la normativa necesaria enfocada a administrar correctamente los accesos a

la carpeta de información personal, existente en todas las computadoras del Banco y que
deban ser ejecutados por el personal del Departamento de TI. Para esto debe crearse un
histórico de trabajo donde se documente al menos las autorizaciones previas que deban
existir, los motivos por los que fue necesario el acceso, los funcionarios de TI que ejecutaron
la tarea, los procedimientos correspondientes, los datos extraídos y las firmas de todos los
involucrados, incluyendo la del dueño de la información privada.

Nivel de Riesgo: Medio.

4.3. Control en el mantenimiento de Sistemas de Información

Al Departamento de TI

Debe implementar un proceso de validación y revisión del código fuente para cuando deba
ser modificado por cualquier motivo, esto tanto en la Forma como en el Reporte. Esta
revisión debe quedar documentada y debe indicar además del cumplimiento del
requerimiento del usuario final, que el código no presentó ninguna anomalía o característica
fuera de lo requerido y en caso de encontrarse, debe quedar anotado y efectuar el
comunicado respectivo a la jefatura de TI.

Nivel de Riesgo: Medio

Implementar un histórico de todas las Formas y Reportes que han sido modificadas, el cual
al menos tenga la siguiente información: el sistema al que pertenece o al que afecta,
las fechas de modificación, el detalle en prosa del cambio, el código fuente anterior y
el modificado, el funcionario encargado de realizar el cambio así como la persona que validó
su cumplimiento y el funcionario que finalmente trasladó el archivo al servidor de
producción.

Nivel de Riesgo: Medio

A la Gerencia General

Normar a nivel del Manual de Puestos y funciones, al puesto responsable de velar por el
correcto cumplimiento y ejecución del proceso de mantenimiento de los sistemas de
información del Banco.

Nivel de Riesgo: Medio

Valorar la implementación de sanciones administrativas y judiciales, en caso de que se

localicen anomalías en el código fuente de algún sistema de información, y donde la misma
genere algún beneficio directo o indirecto para el funcionario que lo desarrolló.

Nivel de Riesgo: Medio.

Utilización de programas maliciosos

A la Gerencia General

Se debe normar correcta y ampliamente la forma de actuar y los pasos a seguir cuando se
determine que algún incidente de seguridad detectado en los equipos del Banco, fue
realizado con alevosía buscando algún bienestar para el funcionario que lo ejecutó. En este
sentido, es necesario buscar la asesoría correspondiente para que el proceso de
recolección de evidencia lógica y física (de existir), se realice de forma adecuada y
suficiente para posibles procesos legales posteriores a la investigación.

Nivel de Riesgo: Medio

Difusión de información falsa

A la Gerencia General

Debe crearse la normativa suficiente tanto a nivel de política como de procedimiento el tema
referente la propagación de información o noticias inexistentes o privadas, que sean
capaces de perjudicar al Banco o a sus funcionarios. Para esto además de la política
respectiva, debe elaborarse un procedimiento donde se indique como mínimo la persona o
área encargada de ejecutar la revisión, los pasos que deben seguirse, el personal que va a
estar involucrado, la documentación necesaria de resguardar y de qué forma hacerlo, entre
otros.

Nivel de Riesgo: Medio